Debian Buster Cinnamon: Mehrere rkhunter Warnungen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
rwkraemer
Beiträge: 398
Registriert: 14.08.2005 23:23:40

Debian Buster Cinnamon: Mehrere rkhunter Warnungen

Beitrag von rwkraemer » 02.02.2019 01:20:55

Hallo,

ich habe einige Cinnamon-Erweiterungen aus dem Netz heruntergeladen und das erste, was mir auffiel, das Systemmonitor 50 % CPU-Last auf allen 4 Kernen anzeigte, obwohl kein Fenster geöffnet war (außer Systemmonitor). Bei den Prozessen fiel mir nichts auf, außer dem Prozeß "sh" (Kennung habe ich mir leider nicht gemerkt). Ich habe dann alle Erweiterungen wieder deinstalliert und rkhunter laufen lassen, der folgende Meldung ausspuckte:

Code: Alles auswählen

[00:59:28] Warnung: The following suspicious (large) shared memory segments have been found:
[00:59:28]          Process: /usr/lib/x86_64-linux-gnu/cinnamon-settings-daemon/csd-background    PID: 1207    Owner: rainer    Size: 64MB (configured size allowed: 1,0MB)
[00:59:28]          Process: /usr/bin/nemo-desktop    PID: 1381    Owner: rainer    Size: 16MB (configured size allowed: 1,0MB)
[00:59:28]          Process: /usr/lib/gnome-terminal/gnome-terminal-server    PID: 1486    Owner: rainer    Size: 16MB (configured size allowed: 1,0MB)
[00:59:29]          Process: /usr/bin/cinnamon    PID: 1359    Owner: rainer    Size: 2,0MB (configured size allowed: 1,0MB)
Nachdem ich neugestartet habe, ist übrigens der Prozeß "sh" nicht mehr aufgetaucht. Es gab noch mehrere andere Warnungen (z. B. zu egrep) und am Ende stand "4 mögliche Rootkits". Ist rkhunter nur extrem buggy unter buster? Ich habe eine angepasste Konfigurationsdatei verwendet, die ich unter Debian stretch erstellt habe. Könnte das die Ursache sein?

Edit: hier die weiteren Warnungen:

Code: Alles auswählen

[01:30:26] Warnung: Das Kommando '/usr/bin/egrep' wurde durch ein Skript ersetzt: /usr/bin/egrep: POSIX shell script, ASCII text executable

Code: Alles auswählen

[01:30:27] Warnung: Das Kommando '/usr/bin/fgrep' wurde durch ein Skript ersetzt: /usr/bin/fgrep: POSIX shell script, ASCII text executable

Code: Alles auswählen

[01:30:47] Warnung: Das Kommando '/usr/bin/which' wurde durch ein Skript ersetzt: /usr/bin/which: POSIX shell script, ASCII text executable

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian Buster Cinnamon: Mehrere rkhunter Warnungen

Beitrag von rendegast » 02.02.2019 03:28:34

which / fgrep / egrep sind in stretch Skripte.

Evtl. hat rkhunter bei Dir eine Status-db oder ähnliches bei einem früheren Durchlauf (vor stretch) angelegt,
die mal aktualisiert werden müßte.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

rwkraemer
Beiträge: 398
Registriert: 14.08.2005 23:23:40

Re: Debian Buster Cinnamon: Mehrere rkhunter Warnungen

Beitrag von rwkraemer » 02.02.2019 14:31:01

Ich habe Debian Buster neu installiert, nur die angepasste rkhunter.conf übernommen. Ich habe auch vor dem Scan die Befehle "rkhunter --propupd" und "rkhunter --update" ausgeführt. In der angepassten rkhunter.conf habe ich Anpassungen zum Update-Vorgang vorgenommen und dpkg als Paketmanager eingetragen.

rwkraemer
Beiträge: 398
Registriert: 14.08.2005 23:23:40

Re: Debian Buster Cinnamon: Mehrere rkhunter Warnungen

Beitrag von rwkraemer » 02.02.2019 17:37:01

Ich wollte mal testen, ob die Warnungen auch in einer sauberen Neuinstallation von Debian Buster auftauchen (netinstall amd64). Diesmal habe ich allerdings nicht Cinnamon, sondern Mate als Desktop gewählt. Die Warnungen sind exakt die gleichen, nur das in der letzten Warnung diesmal über Mate im Bereich "large memory segments" gemeckert wird.

rwkraemer
Beiträge: 398
Registriert: 14.08.2005 23:23:40

Re: Debian Buster Cinnamon: Mehrere rkhunter Warnungen

Beitrag von rwkraemer » 21.02.2019 00:14:49

Ich bin schon vor einiger Zeit zu Stretch zurückgekehrt und habe Buster nur in Virtualbox laufen. Heute habe ich zum erstenmal in der virtuellen Maschine unter Buster einen Test durchgeführt und die genannten Warnungen sind verschwunden, nur eine Warnung gab es im Bereich "Netzwerk". Das scheint darauf hinzuweisen, dass es "false positives" sind, die mit zunehmender Entwicklung von Buster verschwinden. Die Beta ist ja jetzt nicht mehr weit. Allerdings habe ich für Buster in Virtualbox ein älteres Image wieder reaktiviert, und dann die Updates eingespielt, das Installationsmedium, wo die Warnungen aufgetreten waren, war die Alpha 5.

Antworten